Pada hari Kamis Microsoft memperingatkan bahwa ada kampanye yang sedang berlangsung untuk mendistribusikan malware Windows. Yang memodifikasi browser web untuk melakukan pencurian kredensial dan penipuan iklan.
Sejak setidaknya Mei 2020, penjahat siber telah mendistribusikan keluarga pengubah browser dengan nama Adrozek, kata Microsoft. Kode, yang menargetkan Google Chrome, Microsoft Edge, Mozilla Firefox, dan Yandex Browser di Windows. Terutama menyuntikkan iklan ke halaman hasil pencarian.
“Jika tidak terdeteksi dan terblokir, Adrozek menambahkan ekstensi browser, memodifikasi DLL tertentu per browser target. Dan mengubah pengaturan browser untuk memasukkan iklan tambahan yang tidak sah ke halaman web. Seringkali di atas iklan yang sah dari mesin pencari,” kata Tim Riset Pertahanan Microsoft 365 .
“Efek tersebut adalah untuk pengguna, mencari kata kunci tertentu, untuk secara tidak sengaja mengklik iklan yang disisipkan malware Windows ini, yang mengarah ke halaman terafiliasi.”
Microsoft mendeteksi malware Windows 159 domain unik
Para penyerang menghasilkan uang mereka melalui partisipasi dalam program afiliasi iklan, yang membayar lalu lintas online yang merujuk ke halaman web tertentu. Hingga saat ini, iklan ini tampaknya tidak menunjuk ke situs yang menghosting malware lain. Tetapi Microsoft menyarankan agar dapat berubah kapan saja.
Di Firefox, Adrozek juga memindai perangkat korban untuk kredensial pengguna yang tersimpan dan mengirimkan apa yang mereka temukan kepada penyerang.
Serangan dan taktik semacam itu telah terlihat sebelumnya, tetapi menurut Microsoft, skala dan kompleksitas kampanye. Menargetkan beberapa browser melalui infrastruktur terdistribusi, menunjukkan penjahat siber menjadi lebih canggih dalam upaya mereka.
Microsoft mengatakan telah mendeteksi 159 domain unik, masing-masing menghosting rata-rata 17.300 URL unik yang masing-masing menghosting lebih dari 15.300 sampel malware polimorfik yang unik rata-rata.
Sistemnya mengukur ratusan ribu kontak dengan malware Adrozek, terutama di Eropa, Asia Selatan, dan Asia Tenggara. Dan kampanye sedang berlangsung.
Sistem distribusi ini menawarkan perangkat lunak untuk mengunduh yang berjalan tanpa korban sadari. Penginstal menjatuhkan file .exe bernama acak yang menginstal muatan utama yang menyamar sebagai perangkat lunak audio yang sah di folder File Program Windows.
Kode yang terinstal kemudian membuat perubahan pada berbagai komponen dan pengaturan browser untuk mengaktifkan injeksi iklan dan pencurian kredensial.
Adrozek juga mencoba mengubah DL browser, seperti MsEdge.dll di Microsoft Edge sehingga perubahan pada file Preferensi Aman tidak akan terperhatikan.
Di browser berbasis Chromium, ia memodifikasi pemeriksaan integritas hash terkait keamanan yang berguna untuk mencegah perusakan. Ini juga menambahkan kebijakan untuk mencegah browser yang disubvertingnya diperbarui.
Microsoft mengatakan bahwa Defender Antivirus-nya, yang dikirim dengan Windows 10, dapat bertahan melawan Adrozek. Dan itu menyarankan mereka yang menemukan malware di sistem mereka untuk menginstal ulang browser mereka.